被黑客攻击的家庭聚会用户之谜可能已经解开

一个全球黑客组织接管了史诗运动会的子域名，然后这个问题被史诗运动会掩盖了。

2020年3月底，Etic Games在他们的Twitter账户上发布了100万美元的赏金，任何人都可以提供任何公司传播关于Etic Games的谣言的信息，特别是关于Etic Games的House Party用户抱怨被黑客攻击的谣言。

这一不同寻常的“商业诽谤”赏金被各种各样的记者报道，除了随机的Twitter用户抱怨被黑客攻击外，可获得的事实有限。

赏金发出后，众议院党开始走回头路，并发表了被推特拒绝的说法，称有不真实的用户散布谣言。Twitter对Buzzfeed的一篇文章发表了评论，称“我们没有看到任何与家庭聚会相关的协调活动，但正在继续密切关注。”

赏金发出后，我很快就打开了他们的网络登录页面，以了解他们的安全-我很快就对他们缺乏对用户的保护感到震惊，并在Twitter上发布了一个简短的细节，说明缺乏用于防止MIIM网络钓鱼攻击的登录表单的“内容安全政策”(CSP)请求头-他们的登录表单可以嵌入到第三方网站上，而不会被破坏：

在推特上发布了这一细节后，我意识到Houseparty可能发生了更糟糕的事情，我写了一份报告，并试图将其提交到他们发布给媒体的bounty@house party.com电子邮件中。几天后，我发给他们的电子邮件得到了回复，我被告知，为了让众议院政党对我的门票进行分类，我需要通过他们首选的由HackerOne主持的漏洞赏金计划提交。

我重新发送了我的门票的详细信息，并突出地标记了一个已经被接管的史诗游戏之家党的子域名，它们看起来是这样的：

有几十个类似的子域被攻击者攻破，你仍然可以看到他们通过谷歌搜索上传的一些重定向恶意软件-这是从2020年5月18日开始的(链接被破坏，但缓存的内容可以查看)：

如果你在谷歌缓存中打开这些缓存的文件中的任何一个，你会看到随机的文本细节，然后是跨受攻击域的大量PDF文件的深层链接-这些深层链接会将页面推入搜索结果，基本上是一种SEO恶意软件优化技术。当这些页面处于活动状态时，它们还都触发了PHP重定向到新域-这些PDF->；页面URL重定向在互联网上的数十个其他受攻击域上都可见，更多详细信息见下文。

这是一个“史诗游戏”受损网页的屏幕截图，以及链接到“史诗运动会”子域上其他受损内容的额外请求--你还会看到这里突出显示了一个引用唯一域名的字符串--这个字符串可以帮助你在这个攻击者的网络中找到其他受损网站：

如果您使用上面的字符串“529591ebd919b17db88db909e28a8”，然后搜索此字符串，您会发现29个其他受危害的域具有相同的PDF-String：

类似的过程可以对上传到受攻击的Eic Games子域的所有恶意PDF(有毒PDF)进行-攻击者甚至在他们的Lola PDF中写下了嘲弄Etic Games的消息：“他们不是下午喝着茶欣赏一本好书，而是在台式电脑里对付一些恶意病毒。”

虽然我没有读过罗拉这本书，但我对书中的内容和写这本书的时间已经足够熟悉了，我认为这本书没有提到任何关于“他们台式计算机内的恶意病毒”的内容。

此字符串对于查找其他受损害的域也很有用-快速搜索该字符串的初始部分会发现，同一句话甚至有多个版本，翻译方式略有不同。您可以查看这些结果和更多受危害的域：

此搜索结果中的44个域名中有很大一部分仍处于受攻击状态，其中一些域名包含所有受攻击的PDF的列表-如果您单击其中任何一个链接，您将被带入恶意重定向，我强烈敦促您不仅要极其小心地访问此顶级域名，还要非常小心地单击任何链接，例如(警告：http://www.cloudpeakenergy(.)com/)。

还应该注意的是，在上面的结果中，其中一个有毒PDF是针对“罗伯茨秩序规则”(Roberts Rules Of Order)的-重要的是要理解这本书是由政客、监管者、负责公开会议的人使用的，攻击者会知道，任何搜索这本书的免费版本的人都可能是VIP个人，他们可能与政客或政治决策有关-所以像这样的攻击者通过创建整个有毒PDF网络来获取免费的“罗伯茨秩序规则”(Roberts Rules Of Order)电子书，显示了他们的政治老练。

Maimi.edu是受攻击最严重的域名之一，在修复之前，他们在被攻破的子域上托管了超过10万个文件：

每当你访问一个被劫持的子域及其“文件”/页面时，你就会被推入重定向，进入一系列可能属于同一犯罪集团的网站。域如下所示：

如果你在这些页面停留足够长的时间，或者点击现在注册，你将被带到一个新的域名请求注册-这些网站存在的电子书，视频流服务，以及各种各样的网站承诺“免费媒体/下载/图书/电影等”-这里是这个特定的重定向骗局的登录页面之一：

这些网站有大量的网络-它们都有相似的信息，相似的承诺，很可能被用于复杂形式的信用卡诈骗和重复使用密码的账户劫持：

这些网站甚至注册了附属公司，并似乎在特定的附属公司页面上提供欺诈服务，如：https://my-ebooks.club/affiliate。

在这个联盟注册页面上，它是这些攻击者网络中为数不多的几个页面之一，实际上，它很可能是用来注册新的合作伙伴的。甚至垃圾邮件发送者也想知道他们的转换率，所以设置这个网络的人嵌入了来自Matomo Tag Manager的实际跟踪代码和其他几个独特的字符串，可以用来查找他们的其他资产。揭示他们更多工作的Matomo标记字符串是：https://collecting(.)click/js/container_ecko3JmF.js。

该字符串-不带(.)。包括在上面-可以搜索，并发现更多电子书/重定向垃圾邮件-其中一些被防病毒公司捕获：

如果你访问这个搜索的结果，你会发现更多像-https://best-online-books.com/这样的“免费媒体”骗局

其中一些域名可以在SecurityTrails.com上搜索到，你会在其中找到映射到这些被劫持域名的更大网络的子域名-这些域名似乎是通过“Serverius Holding B.V.”注册/托管的。这使得很容易确认在此列表的IP地址37.1.223.152上注册和托管的134个域是其网络中的核心域，它们连接到被劫持的子域进行重定向诈骗：

这些域名都有上面在其他核心域名中突出显示的相同的代销商注册和重定向骗局：

在这些页面上，网页字体是从“webfonts.ru”请求的-这一点和其他细节指向了这些劫持事件背后的俄语网络：

这些网站非常专注于电子书、免费电影流媒体和其他“免费媒体”服务，这些服务会诱使用户快速创建账户-它们也有像“HD-STREAM(.)Club”这样的网站，似乎针对的是足球迷-如果你点击那个网站查看任何直播流，你会被重定向到他们网络中的另一个网站，URL是@。

这些“注册启动Live HD Stream”登录页面可能会欺骗一些用户创建他们在其他网站上使用的简单密码：

“代销商”页脚中的上面链接-点击后，用户会进入一个非常熟悉的代销商注册页面：

在my-sports.Club网站的源代码中，有对此域“cdn.spba7.Club”的引用-在源代码/元数据中的所有这些网络中都引用了其他域。这些域名中的很大一部分在进入URL栏后会重定向到“webtools.media”，这是一个专门构建的平台，用于根据用户的原籍国将用户重定向到独特的网页/网站。这就是如何将美国的用户重定向到特定的域，而将英国的某个用户重定向到另一个域。这种类型的编排被所有经验丰富的操作员用来试图向美国审计师或他们知道存在于特定国家的审计师隐藏他们的工作。通过仅将恶意重定向集中在某些用户而不是其他用户上，劫持看起来可能是“随机的”，看起来像是某种本地人为错误或本地妥协，而不是协调将人们传送到特定恶意软件/网络钓鱼域的网络妥协。

列出的@https://securitytrails.com/list/ip/37.1.223.152域名有各种各样的钓鱼网站-它们都承诺用外观光鲜的网站提供高质量的内容，比如：

你可以在谷歌上查看这些域名的表格，以防它们消失，这里。请非常小心地看这份清单--除非你意识到这些风险，并有意尝试将自己暴露在这些风险之下，否则不要访问这些网站。

犯罪集团实施重定向骗局和域名/子域收购打击史诗游戏豪宅派对子域史诗游戏以技术无能淡化用户风险。

如上所述，史诗游戏旗下的“TheHousePartyApp.com”上有很多子域名被劫持。

您应该注意到的第一件事是，被攻破的子域位于域“TheHousePartyApp.com”上-House Party的核心域是“HouseParty.com”，但您可以在下面的屏幕截图中看到，“app.house party.com”登录页面有一个内容安全策略，该策略允许从“wss：//*.thehouse partyapp.com”和“https://*.thehousepartyapp.com”激发代码//那里的第二个条目“*.thehouse partyapp.com”有一个星号“*”然后，thehouse partyapp.com上的“catch-all”条目和任何子域都具有提升的特权，可以在HouseParty.com登录页面的窗口/页面中激发javascript代码：

上面的细节，加上CSP策略+登录页面上存在的漏洞，都被发送给了史诗游戏团队，他们辩称，因为被劫持的子域上没有史诗游戏的代码，所以这些子域不知何故是安全的。他们写道：

再次感谢你伸出援手，所有这些记录现在都应该被清理掉，我们正在进行检查，以应对未来的收购。在我们解决这个问题之前，你能确认一下我们没有遗漏任何记录吗？

我也会把这个放到一个媒介上，因为这是一个新用户继承的旧IP的结果，而不是对我们的基础设施的妥协。如果您有任何其他问题，请让我知道！一旦你确认了，我就把这个关了。

我问他们是否看了我的机票，并质疑他们是否了解用户面临的风险，他们回答说：

关于严重程度的变化。这份报告最初是在我们的环境受到损害的印象下提交的，结果是一个不好的行为者正在积极接管子域。我们确认情况并非如此，问题中的子域指向被丢弃的DNS记录，而这些记录又被托管电子书的第三方自动继承。我们没有发现有针对性的妥协的迹象。

我们正在调查您在api2.thehouse partyapp.com上的发现。你能单独提交一份文件让我们追踪吗？如果您有任何额外的POC，我们将不胜感激。只要提交的文件遵循负责任的披露做法，我们就可以将其转移到我们的赏金计划中，并授予适当的赏金。

我进一步询问了史诗游戏团队，以及他们提到的“托管电子书的第三方”-他们随后回答说：

您列出的域是thehouse partyapp.com的子域，而thehouse partyapp.com是我们拥有的域。这是本意见书中提到的子域之一。在那里托管的内容不是由我们托管的。第三方继承了house party以前拥有的IP地址，与该IP关联的DNS记录从未被删除，这就是为什么该子域仍然指向有问题的IP。

即使我们拥有的子域指向端点，但这并不意味着该端点由我们托管。例如，foo.house party.com可以定向到Google，但我们不会托管Google的内容。HackerOne在这里提供了一篇关于子域接管的很好的文章。

这一问题已经与史诗运动会团队进行了讨论和调查，结论是，除了非法内容可以并曾经由该第三方托管这一事实之外，进一步利用的可能性要小得多。

您提到了二级子域接管，为了实现这一点，域A(我假设您指的是父域)http://thehousepartyapp.com/，需要从域B(受影响的子域)导入一些资源。这里的情况并非如此。接管子域本身并不直接意味着父域会受到影响。有一些缓解因素已经到位，使开发变得不太可能。

具体地说，在这种情况下，由于父域和受影响子域之间关系的性质，进一步攻击很可能是不可能的。未在受影响的子域中设置Cookie，并且在父域中读取/写入Cookie的能力也不会使攻击成为可能，因为在会话方面，父域不依赖会话Cookie进行身份验证。

同样重要的是要注意，在处理漏洞慷慨领域中的安全漏洞时，利用的证据以及将问题转化为实际利用情况的概念证明是极其重要的。即使你已经指出，一些子域指针悬而未决，第三方在这些资产上托管内容，其他一切都纯粹是理论上的。

所有上述结果说明了降低问题严重性背后的原因，以及为什么它对史诗运动会的潜在影响并不像最初看起来的那样严重。希望这将有助于解释情况，以及团队是如何得出结论的。

第一个讨论与您提交的技术问题有关。也就是说，有许多子域指针没有更新，并且指向现在由另一个组织控制的IP地址，以及CSP中允许的cookie结构。此对话与您向HackerOne平台提交的内容相关，根据您提供的信息，Etic Games团队评估了影响，并删除了您报告中确定的已放弃的DNS条目。该团队还确定并删除了在家庭派对平台上不再使用的其他条目。EPIC游戏公司正在实施进一步的工具来解决退役的子域问题，并在app.house party.com上评估CSP的更新。需要明确的是，这些子域不是由攻击者恶意创建的，它们是由家庭聚会团队创建的，并且在被替换时没有取消配置。史诗游戏团队没有发现您标识的DNS条目被利用的迹象，也没有发现团队标识的任何其他条目。

HackerOne平台上报告工作的标准流程是，黑客提供安全问题的概念证明以及如何重现该问题。然后，组织的安全团队在内部审查调查结果的影响，并采取任何适当的措施。在这种情况下，从您的角度来看，与您的发现相关的任何安全漏洞都是理论上的，是可以做的，而不是已经证明的。这份报告中有很多讨论，因此，如果您可以，请提供一份新的技术报告，列出您能够确定的任何不当行为的证据，我们将很乐意考虑这一点。

顺便说一句，您提到的与api2.thehouse partyapp.com相关的问题听起来像是另一个问题，Eic Games团队会鼓励您单独提交给HackerOne上的程序。他们会很高兴单独评估它，请记住，这份提交必须遵循负责任的披露，才有资格获得HackerOne的赏金。

epic Games甚至被告知了攻击者的名字，一篇关于攻击者的新闻文章的链接，以及这些多年来一直在进行的网络钓鱼/信用卡攻击的细节。

我将实施这项工作的攻击者命名为“Pickaflick.com Crew”，因为他们操作各种信用卡诈骗已有十年或更长时间了(过去基本上都是这样命名的)--您可以看到他们遗留下来的“PickaFlick.com”网站@http://web.archive.org/web/20140121175615/http://pickaflick.com/。

可以使用本研究中的一些字符串和其他许多字符串对该组织进行反向工程-必须了解，整个体系结构可能只由几个超级有组织的人员构建，他们使用PHP编排来自动化他们的欺诈-这种自动化会跨环境泄漏共享字符串。您可以在PDF中查找字符串，也可以轻松查找其他受危害的域名，如此搜索有8,440个结果：https://www.google.com/search?q=%2258831883288308839%22

在这个网络中很容易找到受危害的域和他们用来编排PHPURL重定向的PDF文件-您会发现很多像https://movie-frame.com/这样的域。

在其中几个域的页脚中，引用了塞浦路斯的一家公司和地址：Varvelia Technologies Ltd Prodromou，75 First Floor，Flat/Office 101 Strovolos，2063 Nicosia Cyprus。

以下是OpenCorporation对Varvelia Technologies的记录-我不打算包括关于该组织的任何其他细节或潜在研究，因为似乎一家真正的律师事务所可能会帮助他们的某个客户注册这些域名，但您可以看到，他们的许多域名都是用几乎相同的消息、窃取的内容、虚假的报价建立的，而且他们在页脚引用了Varvelia Technologies：

上面的一些域有来自非常大的域的用户被推入其中，因此，URLscan在几个月前幸运地捕获了其中的一些请求-这有助于证明该组有自定义的PHP恶意软件，他们会将这些恶意软件交付给某些域。

多伦多大学就是一个很好的例子-他们的“Giving.Utoronto.ca”子域名被攻破了很长一段时间，成千上万的PDF被上传并缓存在谷歌搜索中，供用户查找：

给定子域名上的100%URL现在都已损坏(但缓存结果很容易找到)-但由于通过这些子域推送的流量很大，在某个时候，您可以在URLscan.io中找到这些页面的缓存版本，这些请求表明此PHP欺诈网络有能力将虚假的PHP验证码注入页面，URL重定向到受危害的俄罗斯Yandex分析包以跟踪打开：

更好的商业局(Better Business Bureau)有一个PickaFlick的网页，其中包括2017年和2019年的投诉，用户抱怨信用卡欺诈性收费非常小，该公司要求提供信用卡和借记卡对账单的副本以获得CHA。

..